Fuente: Semana Económica
Eduardo Luna, director general de la Autoridad Nacional de Protección de Datos Personales (ANPD), atribuye el incremento de la fiscalización a la prevención y al alza de denuncias. También defiende el nuevo reglamento propuesto para la ley.
Las acciones de fiscalización de la Autoridad Nacional de Protección de Datos Personales (ANPD) se han intensificado. ¿Por qué?
Es consecuencia de un incremento considerable de denuncias ciudadanas, que justifica un despliegue redoblado del recurso humano de la Autoridad. Los ciudadanos cobran cada vez más conciencia de que son titulares de sus datos y de que, cuando una entidad les da un mal tratamiento, tienen todas las garantías para resarcir esa afectación
¿Cuáles son las principales infracciones?
Un hecho infractor común es no tener políticas de privacidad, que cumplan a plenitud exigencias tales como explicitar qué datos se recolecta, con qué propósito, en dónde se van a almacenar, etc. Otro conjunto de infracciones está vinculado a no recabar el consentimiento de los titulares de los datos, porque muchas veces los ciudadanos nos vemos afectados cuando se nos ofrece, sin haberlo consentido, publicidad. Un tercer grupo de infracciones está vinculado a [la no adopción de] medidas de seguridad. Y es ahí cuando se deviene en infracciones al deber de confidencialidad, incidentes de seguridad por fuga de datos personales, entre otros.
¿Cuál es el rol de la Autoridad Nacional de Protección de Datos Personales en materia de inteligencia artificial (IA)?
Los ciudadanos que utilizan la IA muchas veces, conscientemente o no, proveen sus datos para obtener algún bien o servicio. Esto ha significado que, por ejemplo, la Autoridad, junto con los miembros de la Red Iberoamericana de Protección de Datos Personales, haya pedido información de ChatGPT a los Estados Unidos. Ello a fin de recabar información de cómo se hace este recojo de información y cuáles son las medidas de protección de los datos personales que se puedan recolectar de peruanos. Hay una labor preventiva.
El uso de cámaras con reconocimiento facial en espacios públicos se ha implementado, bajo un contexto de protestas, en la Municipalidad de Lima. ¿Qué injerencia tiene la Autoridad en estos casos?
Nosotros hacemos visitas de fiscalización en municipalidades para verificar que estas acciones se enmarquen dentro de lo que la ley de protección de datos personales estima. Sí es legítimo que, por razones de seguridad ciudadana, los gobiernos locales hagan labor de videovigilancia. Pero siempre y cuando se realice en términos razonables y proporcionados. Lo que no se podría permitir en ningún escenario es un tratamiento indiscriminado de datos. Si la biometría de estas cámaras de seguridad sirve para identificar a delincuentes requisitoriados o para identificar a personas que acaban de cometer un delito, sería un tratamiento proporcional.
¿Los casos de filtración de datos, como el ocurrido recientemente en el municipio de Miraflores con correos electrónicos, contraseñas y números de DNI, están sujetos a posibles sanciones?
En ese caso, la Autoridad ya inició una labor de investigación. Permanentemente hacemos visitas a gobiernos locales. [Pero] no toda eventual infracción a la Ley de Protección de Datos termina necesariamente en multa. El procedimiento permite subsanar las conductas, antes de que se inicie un procedimiento sancionador.
El nuevo proyecto de reglamento de la Ley de Protección de Datos Personales contempla una aplicación extraterritorial. ¿La Autoridad tiene dicho alcance?
Hay bastante aceptación y entendimiento de que la autoridad peruana ejerce esta competencia. Algunas empresas sí suelen presentarse procesalmente: designan abogados, ejercen sus derechos de defensa y transitan por este procedimiento. Pero, en algunos casos, las multas que imponemos no son cumplidas; esa es una discusión distinta. De lo que no hay duda es de que la ANPD es plenamente competente para salvaguardar los derechos de protección de datos personales de los peruanos, ya sea que se traten en el Perú o que hayan sido obtenidos en el Perú y se traten desde el extranjero.
El texto también indica que cualquier incidente de seguridad tiene que notificarse en un plazo de 48 horas a la Autoridad. ¿Esta disposición no podría aumentar la carga operativa de las empresas?
Estamos materializando aspectos que la ley recoge, que es el principio de seguridad y que quienes hacen tratamiento de datos sean lo suficientemente responsables cuando se producen estos incidentes. No es novedad. El reglamento europeo del 2016 establece que. cuando una entidad pública o privada tiene una brecha de seguridad, lo propio es comunicar este incidente a las autoridades de protección de datos y a sus propios clientes para prevenir situaciones lamentables, que puedan producirse como consecuencia de esa pérdida o fuga de información. Además, ya es una obligación establecida en el reglamento de ley de Gobierno Digital.
El proyecto de reglamento introduce, además, la figura del oficial de datos personales. ¿Cuáles tendrían que ser sus competencias?
El Reglamento de la Ley de Gobierno Digital ya establecía la creación de estos oficiales de datos personales para entidades públicas. Ahora, estamos añadiendo la figura para grandes corporaciones que hacen tratamiento masivo y a gran escala de datos personales, o que hacen un tratamiento de datos personales sensibles. Seguimos siendo la fuente de referencia a la cual pueden acudir estos oficiales de datos y absolver muchas de las consultas que puedan provenir de sus propias entidades. Ese es el propósito: articular una comunidad […] sensible a la protección de datos personales.
